6.6. 创建修复 Ansible playbook,使系统与特定的基准一致
您可以创建一个 Ansible playbook,其只包含使您的系统与特定基准保持一致所需的修正。此 playbook 更小,因为它没有涵盖已满足要求。创建 playbook 不会以任何方式修改您的系统,您只需为后续应用程序准备一个文件。这个示例使用了健康保险可移植性和责任法案(HIPAA)配置文件。
注意
在 RHEL 8.6 中,Ansible Engine 被 ansible-core
软件包替代,该软件包只包含内置模块。请注意,很多 Ansible 补救使用社区和可移植操作系统接口(POSIX)集合中的模块,它们没有包含在内置模块中。在这种情况下,您可以使用 Bash 补救来作为 Ansible 补救的替代。RHEL 8.6 中的 Red Hat Connector 包括修复 playbook 与 Ansible Core 正常工作所需的 Ansible 模块。
先决条件
-
scap-security-guide
软件包已安装。
流程
扫描系统并保存结果:
# oscap xccdf eval --profile hipaa --results <hipaa-results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
在带有结果的文件中找到结果 ID 的值:
# oscap info <hipaa-results.xml>
根据在第 1 步中生成的文件生成一个 Ansible playbook:
# oscap xccdf generate fix --fix-type ansible --result-id <xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_hipaa> --output <hipaa-remediations.yml> <hipaa-results.xml>
-
查看生成的文件,其中包含在第 1 步中执行扫描过程中失败的规则的 Ansible 修复。查看生成的文件后,您可以使用
ansible-playbook <hipaa-remediations.yml>
命令应用该文件。
验证
-
在您选择的文本编辑器中,检查生成的
<hipaa-remediations.yml>
文件是否包含在第 1 步中执行的扫描中失败的规则。
其它资源
-
您系统上的
scap-security-guide (8)
和oscap (8)
手册页 - Ansible 文档